1. Inicio
  2. Pregunta y respuesta
  3. ¿Debo encriptar web.config en un alojamiento compartido?

¿Debo encriptar web.config en un alojamiento compartido?

2010-08-10 24 views
6

Buen día todo. He eliminado algunos .net hosting con fusión web, pero estoy luchando para obtener respuestas con respecto a su configuración de seguridad.¿Debo encriptar web.config en un alojamiento compartido?

Específicamente estoy acostumbrado a entornos de plena confianza, ya que trabajo para una gran empresa de servicios públicos.

Por lo general, cifraría algunos/todos mis archivos web.config, esto no puedo hacerlo en su entorno de confianza medio IIS7, ni me permitirán instalar la clave i RSA específicamente para mi aplicación.

Entonces, ¿mi archivo de configuración es realmente tan seguro ?, ¿tengo miedo de que alguien robe todos mis datos confidenciales de mi base de datos usando la cadena de conexión desencriptada?

Fuente

2010-08-10 Barbloke6

+0

¿Quién es 'alguien' ?. La cadena de conexión solo es legible por usted y la parte anfitriona. Incluso cuando se encripta la conexión, la parte anfitriona tiene derechos de administrador para su base de datos. –

+0

Hola rdkeine. 'Alguien' como en ..... cualquiera que no debería estar mirando. Estoy de acuerdo con los administradores de hoster que buscan y aquellos directamente conectados con el negocio. Principalmente mis preocupaciones han surgido debido a las limitaciones de mi rol de desarrollo. Al trabajar para una empresa tan grande solo tengo acceso a entornos de prueba y desarrollo, la producción es administrada y mantenida por un equipo completamente separado, por lo que normalmente me alimentaré de lo que se necesita configurar en términos de seguridad. – Barbloke6

Respuesta

4

Estás en un serio pensamiento de deliges pensando en encriptar web.config. Lo que más le asusta es que alguien entre a su cuenta, y si puedo reemplazar su aplicación web, el hecho de que la cadena de conexión esté cifrada es inútil ya que TENGO QUE TENER acceso a la clave de descifrado de todos modos.

Por lo tanto, bajo cualquier circunstancia, siempre puedo acceder a la base de datos de todos modos.

Fuente

2010-08-10 10:14:23 TomTom

+0

Hola TomTom, gracias por su pronta respuesta. sí, esto era lo que parecía pensar. La simplicidad del cifrado, etc., parece eliminar su efectividad. También recuerdo que durante mi entrenamiento en 2.0 hace bastante tiempo, todos concluimos que no era de mucha utilidad. Simplemente he estado tratando de tomar las reglas de lanzamiento de producción que tengo que cumplir en el trabajo, en mi propia pequeña empresa. Entonces, si ya estoy usando contraseñas seguras para mi cuenta de hosting, ¿es realmente un problema del que puedo proteger, o todo depende de las medidas de seguridad de los proveedores de hosting? – Barbloke6

+1

Siempre debe confiar en las medidas de seguridad de los proveedores de hosting. Ninguna otra manera. Ellos controlan los servidores;) – TomTom

+0

Comentario justo TomTom, gracias por poner mi mente en reposo – Barbloke6

2

Si utiliza el alojamiento compartido, existe una relación de confianza implícita entre usted y el proveedor de alojamiento. Ellos son los administradores del sistema y controlan la infraestructura y los sistemas que alojan su aplicación. Si la seguridad de su software y datos es tal que no desea permitir que un tercero acceda a ellos, entonces necesita obtener un servidor dedicado o un servidor virtual. De esta forma, usted controla el sistema desde una característica de seguridad perpsective y sus administradores del sistema no pueden acceder a sus datos siempre que estén encriptados. Encypting el archivo de configuración en el alojamiento compartido es prácticamente inútil.

Fuente

2010-08-10 10:29:30

+0

Acuerdo Ben, Los datos que deseo mantener no son súper secretos (eso está en un disco duro extraíble en mi colchón;) I ' Tampoco me preocupa particularmente que los administradores del sistema puedan ver los datos, etc. Mi preocupación es que los competidores de la tecnología roben mi información para obtener una ventaja competitiva. – Barbloke6

+4

Esencialmente, lo que le preocupa es que las personas cometan un delito al hackear su sitio web y robar datos. Las únicas personas que probablemente lo hagan son hackers criminales y no competidores legítimos.En última instancia, esto se reduce a: ¿confío en mi proveedor de hosting para proteger los sistemas mejor que pude. Si la respuesta es sí, entonces vaya a alojamiento compartido, si la respuesta es no utilizar algún tipo de configuración de servidor dedicado o virtual. –

Cuestiones relacionadas

 Cuestiones relacionadas